分享是一种生活态度,求知,求真,分享工作,分享生活!

ASDM无法正常登陆Cisco ASA防火墙

Cisco iqianyue 1809次浏览 0个评论 扫描二维码

问题描述

用户有一台新上线的ASA 5585 防火墙,发现在日常使用维护中,少部分用户可以正常的使用ASDM登陆ASA进行配置和管理,大部分用户的电脑不能够正常的登陆ASDM。 有问题的用户在IE浏览器,敲入ASA的地址以后没有任何反应,页面呈现空白页。

问题分析思路

  1. 确认防火墙上的相关配置是否无误。
  2. 能够访问ASDM 和不能够访问ASDM的电脑是否是同一网段,设备是否有区别。
  3. 在用户的笔记本上抓包分析,能够访问ASDM和不能访问ASDM分析不同点。
  4. 查看ASA上相关的log 信息。

故障排除步骤

  1. 确实配置

 show run http
检查交换机上关于http 配置,是否在正确的接口上调用了命令,是否允许相应的网络访问.

用户的inside 接口确实是放行了所有的地址来访问ASA.

show run asdm
检查ASDM 调用asdm image 的情况。

show asp table socket
查看对应的接口是否在监听443端口

从配置上分析配置都是正确的配置,而且相应的接口也在监听TCP对应的443端口。

  1. 询问用户能够访问ASDM 和不同够访问ASDM 的主机是否在同一个网段 ?

网管ASA的PC都是同一交换机上同一VLAN的主机。
从网络路径上分析,所有PC经过的路径都是相同的,排错网络差异的问题。

  1. 抓包分析。

有问题的数据包

有问题的数据包

对比两个样本的数据包发现,有问题的PC在于ASA在SSL 建立的过程中失败了。
SSL Handshake Failure (40)

  1. 在ASA上打开log功能,记录在用户登录ASDM过程中的SSL建立过程的log。

使用 logging class 命令可以使ASA只存储特定类别的log。

可以看到当前ASA 就支持一种加密算法DES-CBC-SHA, 而这仅有的一种加密方式又不在浏览器支持的范围内,所有PC无法与ASA完成SSL的握手连接。

  1. 查看当前ASA SSL的配置,并添加加密方式。

发现只有1种加密方式,这时候我们尝试去添加更多的加密算法。 通过show version 检查 ASA是不是有3DES-AES 加密的license. 如果没有需要申请相应的license。

我们给ASA添加其他的加密算法。

  1. 用户可以成功的登陆ASDM

经验总结

  1. 要分析ASDM登陆ASA的整个过程。
    先是https网页登陆进入,然后是允许java 程序。
  2. 在日常的troubleshooting 中一定要注意观察设备的系统日志。
    有时候日志能够帮我们快速准确的定位问题。

iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (3)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址